Coordinated Vulnerability Disclosure Policy

Intro

Hoewel MobilityPlus (nog) geen officieel bug bounty-programma heeft, kunnen we onder de Wettelijke Procedure voor het Melden van Kwetsbaarheden meldingen ontvangen over mogelijke kwetsbaarheden in ICT-producten of ICT-diensten die onder de Belgische wetgeving vallen.

Onderzoekers die wettelijke bescherming willen genieten, moeten bepaalde voorwaarden respecteren, waaronder een strikte beperking tot noodzakelijke en proportionele handelingen, de afwezigheid van frauduleuze intenties of kwaadwilligheid, en het correct melden aan en informeren van MobilityPlus.

Doel

Bij MobilityPlus hechten we veel waarde aan de veiligheid van onze systemen, diensten en de gegevens die ons worden toevertrouwd. Dit Coordinated Vulnerability Disclosure (CVD)-beleid beschrijft hoe externe security researchers, ethische hackers, klanten en partners op een verantwoorde manier kwetsbaarheden kunnen melden, en hoe wij beloven daarop te reageren.

We moedigen het melden van beveiligingsproblemen aan om het vertrouwen van onze klanten te behouden en de veiligheid van onze systemen continu te verbeteren.

Toepassingsgebied

Dit beleid is van toepassing op:

  • Alle internetgerichte systemen die eigendom zijn van, beheerd worden door of onderhouden worden door MobilityPlus

  • Webapplicaties, mobiele applicaties, API’s, firmware en netwerk­infrastructuur

  • Odoo-omgevingen, energiemanagementsystemen en EV-laadplatformen die onder onze controle vallen

Systemen buiten scope (bijv. externe diensten en laadsystemen die we gebruiken maar niet beheren) vallen niet onder dit beleid, tenzij uitdrukkelijk anders vermeld.

Een kwetsbaarheid melden

Als u denkt een beveiligingskwetsbaarheid te hebben gevonden, meld deze dan privé via e-mail naar
vulnerabilityreport@mobilityplus.be

Gelieve te vermelden:

  • Een duidelijke beschrijving van de kwetsbaarheid

  • Stappen om het probleem te reproduceren (proof-of-concept indien beschikbaar)

  • Het getroffen systeem of de URL

  • Gebruikte tools of technieken

  • Uw contactgegevens (optioneel, indien u erkenning of opvolging wenst)

Voor meer details omtrent het melden van een kwetsbaarheid ga naar: Wettelijke Procedure voor het Melden van Kwetsbaarheden

Wat mag u van ons mag verwachten

Wanneer u een kwetsbaarheid te goeder trouw en in overeenstemming met dit beleid meldt, verbinden wij ons ertoe:

  • Bevestiging van ontvangst binnen 5 werkdagen

  • Beoordeling en prioritering op basis van risico en impact

  • Transparantie over de status en timing van onze remediëringsinspanningen

  • Erkenning (indien gewenst) op onze acknowledgements-pagina of disclosure-tijdlijn

  • Geen juridische stappen — op voorwaarde dat u te goeder trouw handelt en onze richtlijnen volgt (zie hieronder)

Gedragsregels (wat wij van u verwachten)

We vragen onderzoekers de volgende principes te respecteren (niet-uitputtende lijst):

  • Handel te goeder trouw en vermijd privacy-schendingen, gegevensvernietiging of verstoring van diensten

  • Geef ons redelijke tijd om te onderzoeken en te remediëren (wij streven ernaar kritieke issues binnen 90 dagen op te lossen)

  • Toegang tot, downloaden of wijzigen van gegevens die niet van u zijn, is niet toegestaan

  • Voer geen DoS- of social engineering-aanvallen uit

  • Maak de kwetsbaarheid niet publiek voordat wij ze hebben opgelost of een gezamenlijke disclosure-timing is overeengekomen

De volledige procedure, uw verplichtingen en toegestane acties worden gedetailleerd beschreven in de Wettelijke Procedure voor het Melden van Kwetsbaarheden.

Safe Harbour-principe

Wij beschouwen activiteiten die in overeenstemming met dit beleid worden uitgevoerd als:

  • Geautoriseerd, en

  • Vrijgesteld van juridische stappen, inclusief onder wetten zoals de Computer Misuse Act, GDPR Artikel 32, of nationale implementaties van de NIS2-richtlijn.

Mocht een derde partij juridische stappen ondernemen, dan zullen wij duidelijk aangeven dat uw acties geautoriseerd waren onder dit beleid en deel uitmaakten van een verantwoord disclosure-proces.

Voor wettelijke bescherming onder de Belgische wetgeving moeten onderzoekers ook voldoen aan de Wettelijke Procedure voor het Melden van Kwetsbaarheden.

Wall of Fame & Erkenning

Wij erkennen graag iedereen die helpt onze cybersecurity te versterken. Met uw uitdrukkelijke toestemming kunnen we uw naam of alias opnemen op onze Security Wall of Fame (optioneel met link naar uw LinkedIn-profiel). Indien u anoniem wil blijven, respecteren wij dat volledig.

Hoewel we (nog) geen formeel bug bounty-programma hebben, voorzien we af en toe kleine bedankjes of bedrijfsswag als blijk van waardering, afhankelijk van de impact en kwaliteit van het rapport.